Bonjour Stéphane,
Merci pour ta réponse bienveillante et apaisée…
Il n'y a pas de "fight" pour moi, juste un échange de point de vue ; c'est
dommage que cela empêche certains de dormir :-)
Je suis aussi surpris par les réactions enthousiastes que l'expression de mon
point de vue a suscitées ; j'ai quand même l'impression que mes propos sont mal
interprétés (sans parler de ceux qui les déforment).
A la base, j'ai juste dit que je préférais dépenser 10 € pour être tranquille
pendant un an plutôt que de dépendre d'un processus externe qui est
potentiellement faillible ou compliqué à sécuriser. Il y d'ailleurs déjà eu des
soucis (https://www.agwa.name/blog/post/last_weeks_lets_encrypt_downtime) et il
suffit de chercher "bug let's encrypt" dans ton moteur de recherche préféré pour
étayer cette possibilité.
Cela dit, tout choix est une question d'arbitrage qui dépend du contexte. Non
seulement je ne remets pas en cause ta gestion (ni celle des autres colistiers
!) de tes multiples certificats SSL mais je la trouve très bien adaptée à ton
cas. Et ce n'est pas un petit bug de LE de temps en temps qui va remettre en
cause ton dispositif par rapport aux milliers d'euros que tu économises.
Indépendamment, je trouve cela surprenant cette limite de validité à 90 jours
pour les certificats LE. Sans parler d'une sollicitation moindre de leurs
serveurs, si cela avait été un an, nous n'aurions jamais eu cette discussion.
En tout cas LE aura au moins eu un effet très bénéfique pour tout le monde en
réduisant considérablement le racket des CA.
Par contre je reste médusé par ceux qui sont capables de repérer des "vunls" à
toute vitesse ou de conclure qu'un traitement open source est fiable rien qu'en
constatant qu'une "centaine de ko" de code sont bien lisibles ! Pour avoir
exploré les sources d'openssh à la recherche de la signification de messages
d'erreur inhabituels dans les logs, je n'ai clairement pas eu cette impression.
C'est une autre idée qui semble largement partagée qu'un traitement est fiable
/juste/ parce qu'il est "open source". Il y a pourtant tellement de travail à
faire pour _vraiment_ s'en assurer ! Et si la disponibilité des sources est
indissociable de la liberté d'utilisation (et de maintenance) d'un logiciel
libre, ce serait plutôt un défaut potentiel pour sa sécurité ; la possibilité
d'y repérer des failles de sécurité l'est aussi pour les pirates.
A toutes fins utiles, je ne dis et ne pense pas que les logiciels open source ne
sont pas fiables !
Le 20/03/2024 à 11:23, Stéphane Rivière a écrit :
Mon cher Laurent,
Comme les colistiers te l'ont détaillé, ce combat me semble un mauvais fight
et il y a mille manières de régler éventuellement les points que tu évoques.
Pour ma part, étant un faignant professionnel, ma génération de certs (acme.sh
+ acmemgr.sh en DNS01 only) est confinée dans un serveur de clés isolé et ces
certs sont ensuite distribués par ssh via le réseau privé (vrack ovh pour
nous) reliant toutes nos bestioles physiques sur les différentes instances
concernées. Ça marche ainsi pour nos proxies web, nos (feu) serveurs de mails
et autres services zarbis et stranges de nos devs. Tout ceci ne voit pas le
jour du réseau public avant d'arriver à destination et c'est bien ainsi.
Au bout du compte, LE est juste une bénédiction des dieux car mettre un radis
(voire un champ de carottes) chez ces dealers de certs s’insupportait.
Pourquoi payer un dealer pour utiliser un pot à miel totalement vérolé ? Ces
histoires d'autorités de certification sont une blague. Du foutage de gueule
absolu. Évidemment que les éléments secrets sont depuis le premier jour dans
les jupes de toutes les agences à 3 ou 4 lettres, sinon ces chiffrements ne
seraient juste pas permis car le déchiffrement en temps réel relève du
monopole des états et de la négation de la vie privée. Mais c'est
commercialement nécessaire, le grand voleur étatique ne tolère pas le petit
arnaqueur privé, donc cert pour la sécu des transactions bancaires et pour le
MITM et pour le SEO aussi afin d'éviter de se faire défoncer par le gougle & co.
Mais au moins c'est désormais gratuit et avec les bons outils totalement
automatique et non chronophage.
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
